- 1、本文档共32页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息安全基础
第9章 风险测评与评估
【学习目标】
了解什么是信息安全测评;
了解什么是风险评估;
知道信息安全测评与风险评估之间的关系是什么;
了解信息系统风险测评与风险评估的方法。
9.1信息系统安全测评
信息安全测评是信息安全工程学科的一个分支。测评人员扮演的是“质量监察员、监督员、审核员”的角色。测评工作就是在国际标准化组织(ISO,International Organization For Standardization)和世界各国根据自身特点颁布实施的各种标准规范的框架之内进行的,即“贯标”。
9.1信息系统安全测评
我国的信息系统安全测评就是依据《等级保护》对信息系统所采取的安全措施是否满足相应的等级要求进行符合性测试,对信息系统的安全现状进行评价的过程。测评者应对相应的国家标准非常熟悉,包括《信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息系统安全等级保护基本要求》(GB/T 22239)等国家相关标准;还应具备相应测评方法和技能。
9.1.1《信息系统安全保护等级定级指南》(GB/T 22240-2008)
1 信息系统安全保护等级
根据等级保护相关文件,信息系统的安全保护等级分为以下五级:
第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
9.1.1《信息系统安全保护等级定级指南》(GB/T 22240-2008)
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级:信息系统受到损坏后,会对国家安全造成特别严重损害。
9.1.1《信息系统安全保护等级定级指南》(GB/T 22240-2008)
2 信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
3 定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表9-1所示。
9.1.1《信息系统安全保护等级定级指南》(GB/T 22240-2008)
表9-1 定级要素与信息系统安全保护等级的关系
9.1.2《信息系统安全等级保护基本要求》(GB/T 22239)
1 等级保护基本要求概述
GB/T 22239《信息系统安全等级保护基本要求》规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
9.1.2《信息系统安全等级保护基本要求》(GB/T 22239)
基本安全要求是针对不同保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
9.1.2《信息系统安全等级保护基本要求》(GB/T 22239)
2 等级保护基本要求(第三级)
技术要求
物理安全:包括物理位置的选择、物理访问控制、防盗和防破坏、防雷击、放火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护几个方面。
网络安全:包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几个方面。
9.1.2《信息系统安全等级保护基本要求》(GB/T 22239)
主机安全:包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制几个方面。
应用安全:包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制几个方面。
数据安全及备份恢复:包括数据完整性、数据保密性、备份和恢复几个方面。
管理要求
包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
9.2风险评估
9.2.1信息安全风险评估的目的和意义
信息安全风险评估有助于认清信息安全环境和信息安全状况,提高信息安全保障能力,其目的和意义体现在以下几个方面。
信息安全风险评估是科学分析并确定风险的过程
信息安全风险评估是信息安全建设的起点和基础
信息安全风险评估是需求主导和突出重点原则的具体体现
信息安全风险评估是组织机构实现信息系统安全的重要步骤
9.2.2信息安全风险评估的原则
信息安全风险评估的原则包括以下几项
您可能关注的文档
最近下载
- 部编版六年级语文下册期末考试卷(含答案).docx
- 饱和蒸汽压力温度热焓对照表.pdf
- (赛课课件)二年级下册音乐《小猫的圆舞曲》 (共8张PPT).ppt VIP
- 国开(新平台)《煤矿地质》作业1答案.doc
- 2023年甘肃高考数学(理)真题及答案.pdf VIP
- 中西方饮食文化差异The-difference-between-Chinese-and-wester.ppt
- 环境影响评价报告全本公示,简介:福建中鑫化工科技有限责任公司橡胶助剂项目3479..pdf
- SUZUKI铃木UU125T摩托车维修手册.pdf
- 如何提高患者满意度讲解.ppt
- 沥青拌合站项目(含大气专项评价)环评环境影响报告表(新版环评).doc
文档评论(0)